Способ выявления ложных положительных результатов сканирования файлов на вредоносное по

Авторы патента:

G06F21/00 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2573265:

Ф-СЕКЬЮЭ КОРПОРЕЙШЕН (FI)

Изобретение относится к области обнаружения ложных положительных результатов (ложных тревог) при анализе систем на присутствие вредоносного программного обеспечения. Техническим результатом является минимизация ложных положительных результатов. Способ сканирования файлов для поиска вредоносного ПО в компьютерной системе содержит прием в систему файла, подлежащего сканированию, и использование по меньшей мере одного средства сканирования файла для поиска вредоносного ПО с целью выявления, обладает ли файл свойствами, указывающими на его вредоносность. Если установлено, что файл обладает свойствами, свидетельствующими о его вредоносности, то способ предусматривает использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли файл свойствами, указывающими на его чистоту. Если установлено, что файл обладает свойствами, свидетельствующими о его чистоте, то производится формирование сигнала ложной тревоги. 3 н. и 2 з.п. ф-лы, 2 ил.

Область техники, к которой относится изобретение

Изобретение относится к обнаружению ложных положительных результатов (ложных тревог) при анализе систем на присутствие вредоносного программного обеспечения (ПО), в частности, хотя и необязательно, к обнаружению ложных тревог в системах автоматического анализа на вредоносное ПО.

Уровень техники

Термин «вредоносное ПО» используется для обозначения любых программ, рассчитанных на внедрение в компьютерную систему без согласия владельца компьютерной системы или на ее повреждение. Вредоносное ПО может включать в себя вирусы, вирусов-червей, троянцев, руткиты, рекламное ПО, программы-шпионы и любое другое вредное и нежелательное ПО. Любое вычислительное устройство, такое как настольный или портативный персональный компьютер, электронный секретарь (PDA, Personal Digital Assistant) или мобильный телефон могут быть подвержены риску заражения вредоносным ПО.

Когда происходит заражение устройства вредоносным ПО, пользователь часто замечает нежелательное поведение и ухудшение характеристик системы, так как такое заражение может вызывать нежелательную активность процессора, использование памяти и трафика обмена данными. Заражение также может приводить к проблемам устойчивости и вызывать фатальные сбои работы приложений или нарушения в масштабе всей системы. Пользователь зараженного устройства может ошибочно предположить, что плохие показатели являются результатом изъянов программного обеспечения или проблем в аппаратной части, и предпринять неадекватные действия по исправлению проблем, в то время как фактической причиной является заражение вредоносным ПО, о котором пользователь и не подозревает.

Обнаружение вредоносного ПО - трудная задача, поскольку авторы такого ПО разрабатывают свои программы именно в расчете на трудность обнаружения, часто используя технологии, которые намеренно скрывают присутствие вредоносного ПО в системе, т.е. вредоносная программа может и не появляться в таблицах оперативной системы, в которых приводится перечень протекающих в данный момент времени процессов.

В компьютерных устройствах используются антивирусные программы для обнаружения и возможного устранения вредоносного ПО. В таких антивирусных программах могут использоваться разнообразные способы обнаружения вредоносного ПО, включая сканирование, проверку целостности и эвристический анализ. Из указанных способов сканирование для поиска вредоносного ПО включает в себя анализ файлов антивирусной программой на предмет поиска отпечатков вируса или «сигнатур», которые являются признаком индивидуальной вредоносной программы. В типичном случае это требует того, чтобы антивирусная программа содержала базу данных таких сигнатур. Когда производитель антивирусной программы распознает угрозу нового вредоносного ПО, он подвергает эту угрозу анализу и извлекает сигнатуру. С этого момента данное вредоносное ПО становится «известным», а его сигнатура может быть предоставлена пользователям в обновленной базе данных антивирусной программы.

Чтобы обнаружить вредоносное ПО и генерировать сигнатуры для рассылки на терминалы клиентов, разработчик приложений, предназначенных для обнаружения вредоносного ПО, должен на своей стороне (стороне внутренней обработки или стороне back-end) обработать большое число файлов и образцов кода, применив существенно большие вычислительные мощности, чем те мощности, которыми располагают клиентские терминалы. В некоторых случаях эта работа может включать в себя ручной анализ файлов и образцов кодов на стороне внутренней обработки. Естественно, целью разработчиков таких приложений является максимально возможная автоматизация процесса обнаружения вредоносного ПО на стороне внутренней обработки при одновременной минимизации риска ложных положительных результатов (ложных тревог).

Раскрытие изобретения

Задача настоящего изобретения заключается в создании способа обнаружения ложных тревог для автоматизированной или по меньшей мере частично автоматизированной схемы обнаружения вредоносного ПО. Данная задача решается посредством отбора образцов, подозреваемых в том, что они представляют собой вредоносное ПО или в том, что содержат вредоносное ПО, с целью определения того, в какой мере указанные образцы обладают свойствами или демонстрируют поведение, характерное для чистых файлов или чистого кода.

Согласно настоящему изобретению в его первом аспекте предлагается способ сканирования файлов на предмет поиска вредоносного ПО в компьютерной системе. Способ содержит прием в систему файла, подлежащего сканированию, и использование по меньшей мере одного средства сканирования для поиска вредоносного ПО с целью определения, обладает ли файл свойствами, указывающими на его вредоносность. Если установлено, что файл все же проявляет свойства, свидетельствующие о его вредоносности, то тогда способ предусматривает использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли файл свойствами, указывающими на его чистоту. Если установлено, что файл проявляет свойства, свидетельствующие о его чистоте, то способ предусматривает формирование сигнала ложной тревоги.

Изобретение делает возможным уменьшить необходимость ручного вмешательства в процесс обнаружения вредоносного ПО и позволяет одновременно предупреждать разработчика сервиса и/или пользователя о потенциальных ложных тревогах. Если речь идет о разработчике сервиса, то изобретение дает ему возможность распространять более надежный продукт или услугу.

Согласно изобретению, компьютерная система может представлять собой сервер или группу серверов, например, управляемых разработчиком сервиса обнаружения вредоносного ПО. С другой стороны, компьютерная система может представлять собой клиентский компьютер, владельцем которого, например, является конечный пользователь.

Если дополнительно рассмотреть этап использования по меньшей мере одного средства сканирования для проверки чистоты с целью выявления, обладает ли файл свойствами, указывающими на его чистоту, то указанный этап может содержать одно или более действий, при которых:

определяют, содержит ли файл код, который производит вызовы интерфейса прикладного программирования,

определяют, содержит ли файл графические и/или звуковые данные,

определяют, содержит ли файл текстовые данные на многих языках человеческого общения,

определяют, содержит ли файл строки чистого текста,

определяют, насколько давно файл известен системе как не содержащий вредоносного ПО.

Естественно, что могут быть определены и другие критерии.

Указанный этап использования по меньшей мере одного средства сканирования для определения чистоты файла с целью выявления, обладает ли файл свойствами, которые являются признаком его чистоты, может содержать операцию, при которой определяют меру чистоты файла, и сравнивают ее с заранее установленным порогом.

Согласно изобретению в его втором аспекте предлагается способ предоставления множеству клиентских компьютеров сервиса сканирования для поиска вредоносного ПО, содержащий этапы, на которых:

осуществляют способ, соответствующий изобретению в его первом аспекте, на сервере или группе серверов стороны внутренней обработки,

для файлов, для которых выработаны сигналы ложной тревоги, выполняют дальнейшую автоматическую или ручную проверку с целью подтверждения, является ли файл вредоносным, и

для каждого файла с подтвержденной вредоносностью и для каждого файла, который обладает свойствами, которые являются признаками вредоносности, но все же обладает и свойствами, которые являются признаками чистоты файла, генерируют сигнатуру сканирования и/или правило сканирования и распространяют сигнатуры/правила по клиентским компьютерам.

Согласно изобретению в его третьем аспекте предлагается компьютерная система, содержащая вход для приема подлежащего сканированию файла, и первый процессор, сконфигурированный для использования по меньшей мере одного средства сканирования для поиска вредоносного ПО, с целью определения, обладает ли рассматриваемый файл свойствами, указывающими на вредоносность. Система также содержит второй процессор, сконфигурированный для использования по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли рассматриваемый файл свойствами, указывающими на его чистоту, если было установлено, что файл все же обладает свойствами, указывающими на его вредоносность, и формирования сигнала ложной тревоги, если установлено, что файл обладает свойствами, свидетельствующими о его чистоте.

Согласно изобретению в его четвертом аспекте предлагается компьютерная программа, вызывающая выполнение компьютером следующих этапов:

прием в систему файла, подлежащего сканированию,

использование по меньшей мере одного средства сканирования для поиска вредоносного ПО с целью определения, обладает ли файл свойствами, свидетельствующими о его вредоносности,

если установлено, что файл все же обладает свойствами, указывающими на его вредоносность, - то использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения, обладает ли рассматриваемый файл свойствами, указывающими на его чистоту, и

если установлено, что файл обладает свойствами, свидетельствующими о его чистоте, - то формирование сигнала ложной тревоги.

Согласно изобретению в его пятом аспекте предлагается носитель данных, на котором записана программа, соответствующая изобретению в его четвертом аспекте.

Краткое описание чертежей

Фиг. 1 изображает схему алгоритма, иллюстрирующую процесс обнаружения подозреваемого вредоносного ПО и последующего выявления ложных тревог, и

фиг. 2 схематически изображает компьютер для обнаружения подозреваемого вредоносного ПО и последующего выявления ложных тревог.

Осуществление изобретения

В ходе типичного процесса обнаружения на стороне внутренней обработки, выполняемого разработчиком приложения для обнаружения вредоносного ПО, ежедневно осуществляется прием и анализ сотен и даже тысяч программных файлов (среди которых есть законченные приложения и образцы кодов). Эти файлы могут быть, например, получены средствами «паучкового» поиска в глобальной сети Интернет или могут быть доставлены на сторону внутренней обработки с клиентских терминалов, на которых работают приложения, обнаруживающие вредоносное ПО, созданные указанным разработчиком. Задача обработки на стороне внутренней обработки заключается в быстром обнаружении существующего «в природе» нового вредоносного ПО, чтобы сгенерировать сигнатуру такого ПО и разослать ее на терминалы клиентов, а также, если возможно, сформировать и разослать механизм избавления от заражения. Желательно в возможно большей степени автоматизировать указанные процессы.

Что касается процесса обнаружения вредоносного ПО, то когда на стороне внутренней обработки происходит прием нового файла, работающие там серверы принимают файл и определяют, а) содержит ли данный файл известное вредоносное ПО и/или b) файл демонстрирует поведение или свойства, которые вызывают подозрения, т.е. типичные для вредоносного ПО. Первый из указанных этапов, а), сравнительно легко автоматизировать путем анализа файла на содержание сигнатуры известного вредоносного ПО. Второй этап, b), также можно автоматизировать, применяя правила или «эвристические» процедуры, которые были созданы на основе опыта, накопленного при анализе большого числа известных вирусов. Однако этапу, b), присуща опасность генерирования ложных тревог, поскольку некоторые чистые файлы при применении одной или более эвристических процедур неизбежно дадут положительный результат. Если клиентские терминалы информировать, что чистый файл подозревается в заражении вредоносным ПО, то это вызовет ряд нежелательных последствий, включая разочарование и неудовлетворенность сканирующим приложением, и повышение уровня требований к технической поддержке со стороны разработчика приложения.

В настоящем изобретении предлагается при автоматическом сканировании файлов на предмет вредоносного ПО определение ложных тревог выполнять посредством дополнительного сканирования подозрительных файлов с целью определения показателя «чистоты» (баллов) для каждого файла. Если показатель чистоты подозрительного файла свидетельствует о том, что данный файл может быть чистым, то в отношении файла предпринимают некоторое другое действие с целью подтверждения тем или иным способом, действительно ли файл является зараженным. Например, почти никогда в образцах вредоносного ПО не используются сложные графические и звуковые библиотеки, поэтому, если файл содержит много графического и звукового кода, маловероятно, что такой файл представляет собой вредоносное ПО. Такому файлу может быть присвоен высокий показатель чистоты.

Показатель чистоты может быть установлен путем анализа одного или более свойств файла:

- Анализ кода.

Чистый код содержит кодовые комбинации, существенно отличающиеся от кодовых комбинаций зараженных файлов. Например, чистые приложения, как правило, не выполняют операции записи файлов без диалога с пользователем. Также чистые файлы, как правило, содержат гораздо больше операций с пользовательским интерфейсом (UI operations), приходящихся на строку программы, чем вредоносные файлы.

- Частота обращений к API (интерфейсу прикладного программирования).

Статистическая картина обращения к функциям для чистых приложений обычно отличается от такой же статистики для вредоносных файлов. Например, есть тенденция присутствия в чистых приложениях большего объема кода пользовательского интерфейса (UI code), также существует тенденция, что вредоносные приложения содержат большое число иных операций, чем чистые файлы.

- Деревья вызовов функций (Function call graphs).

Как уже говорилось в отношении анализа кода, функции и порядок вызова функций чистыми приложениями имеют тенденцию отличаться от функций и порядка их вызова вредоносными приложениями. Например, чистые приложения редко отправляют информацию из устройства, не совершив перед этим каких-либо обращений к пользовательскому интерфейсу. То же самое справедливо и для операций с файлами и изменений в регистрах.

- Анализ строк и ресурсов.

Вредоносные приложения почти всегда «упакованы», и поэтому они не содержат большого числа строк чистого текста. Аналогично, ресурсы, используемые вредоносными приложениями (если таковые имеются), предположительно будут запутанными.

- Время существования образца в чистом состоянии.

Т.е. насколько долго файл известен разработчику как файл, не вызывающий проблем.

- Ориентированность на место/регион.

Например, очень немногие вредоносные файлы поддерживают несколько языков.

- Схемы распространения в зависимости от географического местоположения/профиля пользователя.

Вредоносные и чистые файлы могут иметь радикально отличающиеся схемы распространения, зависящие от географического местоположения/профиля пользователя.

- Известность в Google™ и число комментариев по ПО.

Обычно Google™ содержит очень много информации обо всех чистых приложениях. Например, вероятно, что чистое коммерческое приложение будет иметь несколько комментариев, и с нескольких сайтов будет возможность скачивания чистого приложения в свободно распространяемой форме.

- Число сайтов для скачивания,

См. комментарии в Google™.

- Документация.

Очень маловероятно, что вредоносные приложения будут сопровождаться «документацией». Таким образом, может оказаться полезной простая проверка наличия документации в формате СНМ.

Степень чистоты файлов можно также установить, если посмотреть, сколько конечных пользователей сообщают о их зараженности. Необычно большое число таких сообщений может указывать на то, что файл является чистым и широко используется.

Каждой используемой эвристической процедуре может быть присвоен показатель чистоты (в баллах), при этом определение общего показателя чистоты можно выполнять путем сложения результатов с какими-то статистическими весами.

На фиг. 1 изображена схема алгоритма, иллюстрирующая процедуру обнаружения вредоносного ПО в программных файлах. После получения на шаге 100 сканирующим сервером на стороне внутренней обработки файла указанный сервер на шаге 200 выполняет «стандартное» сканирование для поиска вредоносного ПО, используя в типичном случае множество средств («движков») сканирования, обеспечивающих максимальную вероятность обнаружения. Если предположить, что система полностью автоматизирована, то файлы, не попадающие под подозрение на зараженность на шаге 300, в результате сканирования на шаге 400 признают чистыми. Файлы, которые на шаге 300 признаны подозрительными, подвергают дальнейшему сканированию на шаге 500 с целью получения показателя чистоты. На шаге 600 показатель чистоты сравнивают с некоторым установленным порогом. Если показатель чистоты для файла ниже порога, то файл на этапе 700 признают вредоносным (и предпринимают соответствующее действие, например генерируют и распространяют сигнатуры файла по терминалам клиентов). С другой стороны, если показатель чистоты превышает порог, то на шаге 800 тревогу по данному файлу признают ложной. При этом могут быть запущены другие автоматизированные процессы и/или произведено ручное вмешательство.

Хотя и ожидается, что предлагаемый в настоящем изобретении механизм обнаружения ложных тревог должен быть внедрен на стороне внутренней обработки, для работы разработчика приложений, предназначенных для обнаружения вредоносного ПО, естественно, представляется возможным внедрение указанного механизма в качестве дополнительной или альтернативной меры у клиентов на клиентской стороне (стороне front-end), т.е. внедрение данного механизма в программные продукты, поставляемые клиентам/подписчикам. В этом случае факт обнаружения возможной ложной тревоги может вызывать одно или более следующих действий: 1) файл пропускается как «чистый» (только если есть достаточное доверие механизму); 2) пользователю выдается тревожное сообщение; и 3) детали ложной тревоги передаются разработчику на сторону внутренней обработки. Действие 3) может включать в себя постановку файла на «карантин» на терминале клиента до тех пор, пока на стороне внутренней обработки не будет проведен дальнейший анализ файла, и результат возвращен на терминал клиента.

На фиг. 2 схематически изображен компьютер 1, который сконфигурирован для осуществления вышеописанного механизма обнаружения ложных тревог при поиске вредоносного ПО. В рассматриваемом примере компьютер также выполняет начальное сканирование для поиска вредоносного ПО, хотя следует понимать, что эти действия не являются в данном случае обязательными. Данный компьютер может являться сервером на стороне внутренней обработки или клиентским терминалом, таким как PC, портативный компьютер, PDA или мобильный телефон. Он содержит один или несколько центральных процессорных устройств (CPU) и связанную с ними аппаратную часть 2, а также память 3 для хранения инструкций программного обеспечения, файлов, подлежащих сканированию, и связанных с ними данных. Инструкции программного обеспечения выполняют по меньшей мере две вышеописанные основные функции, т.е. функцию 4 сканирования для поиска вредоносного ПО и функцию 5 сканирования для определения показателя чистоты и осуществления действий.

Для специалистов в данной области должно быть понятно, что в форму и детали осуществления изобретения могут быть внесены изменения, не выходящие за границы идеи и объема изобретения.

1. Способ сканирования файлов для поиска вредоносного программного обеспечения (вредоносного ПО) в компьютерной системе, предоставляющей сервис сканирования для поиска вредоносного ПО для множества клиентских компьютеров, содержащий этапы, выполняемые на сервере или группе серверов стороны внутренней обработки, на которых:
принимают подлежащие сканированию файлы в систему и для каждого
файла:
используют по меньшей мере одно средство сканирования для поиска вредоносного ПО с целью выявления, обладает ли файл свойствами, которые являются признаком вредоносного ПО,
если установлено, что файл обладает свойствами, которые являются признаком вредоносного ПО, то используют по меньшей мере одно средство сканирования для определения чистоты файла с целью выявления посредством одной или более эвристических процедур, обладает ли файл свойствами, которые являются признаком его чистоты,
если установлено, что файл обладает свойствами, которые являются признаком его чистоты, то формируют сигнал ложной тревоги;
для файлов, для которых сформированы сигналы ложной тревоги, выполняют дальнейшую автоматическую и/или ручную проверку с целью подтверждения, является ли файл вредоносным; и
для каждого файла с подтвержденной вредоносностью и для каждого файла, обладающего свойствами, которые являются признаком вредоносного ПО, но также обладающего свойствами, которые являются признаками чистоты файла, генерируют сигнатуру сканирования и/или правило сканирования и распространяют эти сигнатуры и/или правила по клиентским компьютерам.

2. Способ по п. 1, отличающийся тем, что этап использования по меньшей мере одного средства сканирования для определения чистоты файла с целью выявления, обладает ли файл свойствами, которые являются признаком его чистоты, содержит одно или более действий, при которых:
определяют, содержит ли файл код, который производит вызовы интерфейса прикладного программирования,
определяют, содержит ли файл графические и/или звуковые данные,
определяют, содержит ли файл текстовые данные на многих языках человеческого общения,
определяют, содержит ли файл строки чистого текста,
определяют, насколько давно файл известен системе как не содержащий вредоносного ПО.

3. Способ по п. 1 или 2, отличающийся тем, что этап использования по меньшей мере одного средства сканирования для определения чистоты файла с целью выявления, обладает ли файл свойствами, которые являются признаком его чистоты, содержит операцию, при которой определяют меру чистоты файла, и сравнивают ее с заранее установленным порогом.

4. Компьютерная система стороны внутренней обработки для предоставления сервиса сканирования для поиска вредоносного ПО для множества клиентских компьютеров, содержащая:
вход для приема подлежащих сканированию файлов,
первый процессор, сконфигурированный для использования по меньшей мере одного средства сканирования для поиска вредоносного программного обеспечения, с целью определения, обладает ли по меньшей мере один из файлов свойствами, указывающими на его вредоносность, и
второй процессор, сконфигурированный с возможностью использования по меньшей мере одного средства сканирования для проверки чистоты с целью определения посредством одной или более эвристических процедур, обладает ли по меньшей мере один из файлов свойствами, указывающими на его чистоту, если было установлено, что файл обладает свойствами, указывающими на его вредоносность, и с возможностью формирования сигнала ложной тревоги, если установлено, что файл обладает свойствами, указывающими на его чистоту;
третий процессор, сконфигурированный с возможностью выполнения для файлов, для которых сформированы сигналы ложной тревоги, дальнейшей автоматической и/или ручной проверки с целью подтверждения, является ли файл вредоносным;
четвертый процессор, сконфигурированный с возможностью генерирования сигнатуры сканирования и/или правила сканирования для каждого файла с подтвержденной вредоносностью и для каждого файла, который обладает свойствами, указывающими на его вредоносность, но также обладает свойствами, указывающими на чистоту файла; и
выход для распространения сигнатур сканирования и/или правил сканирования по клиентским компьютерам.

5. Носитель данных, на который записана компьютерная программа, обеспечивающая выполнение компьютером следующих этапов:
прием в систему файлов, подлежащих сканированию, и для каждого файла:
использование по меньшей мере одного средства сканирования для поиска вредоносного программного обеспечения с целью определения, обладает ли файл свойствами, указывающими на его вредоносность,
если установлено, что файл обладает свойствами, указывающими на его вредоносность, - то использование по меньшей мере одного средства сканирования для проверки чистоты с целью определения посредством одной или более эвристических процедур, обладает ли файл свойствами, указывающими на его чистоту,
если установлено, что файл обладает свойствами, указывающими на его чистоту, - то формирование сигнала ложной тревоги,
выполнение дальнейшей автоматической и/или ручной проверки с целью подтверждения, является ли файл вредоносным, для файлов, для которых выработаны сигналы ложной тревоги, и
генерирование сигнатуры сканирования и/или правила сканирования для каждого файла с подтвержденной вредоносностью и для каждого файла, который обладает свойствами, указывающими на его вредоносность, но также обладает свойствами, указывающими на чистоту файла, и распространение этих сигнатур и/или правил по клиентским компьютерам.

Изобретение относится к области лицензирования. Технический результат - эффективное управление разрешением и запрещением функций на множестве устройств лицензиата, выполняющих функции согласно информации ключей.

Прибор и способ управления лицензируемым объектом // 2573251

Изобретение относится к области лицензирования. Технический результат - эффективное управление лицензируемым объектом.

Система и способ проверки подлинности идентичности личности, вызывающей данные через компьютерную сеть // 2573235

Изобретение относится к системам проверки подлинности идентичности личности, регистрирующейся в компьютерной сети. Технический результат - улучшенная проверка подлинности идентичности личности, регистрирующейся в компьютерной сети.

Устройство и способ для основанной на аппаратных средствах безопасной обработки данных с использованием правил диапазона адресов буферной памяти // 2573215

Изобретение относится к вычислительной технике. Технический результат заключается в безопасной обработке данных.

Система разграничения доступа по расширениям файлов // 2572385

Изобретение относится к средствам защиты от несанкционированного доступа к информации. Технический результат - реализация разграничения доступа по расширениям файлов.

Способ фильтрации бинауральных воздействий в аудиопотоках // 2571921

Изобретение относится к средствам фильтрации бинауральных воздействий в аудиопотоках и к средствам защиты индивидуального, группового и массового сознания граждан от скрытых вредоносных воздействий в аудиопотоках.

Система и способ управления параметрами приложений на компьютерных устройствах пользователя // 2571725

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности управления параметрами приложений на множестве разнообразных компьютерных устройств.

Система и способ полнодискового шифрования с проверкой совместимости загрузочного диска // 2571724

Изобретение относится к области полнодискового шифрования с проверкой совместимости загрузочного диска со средством шифрования. Технический результат - обеспечение совместимости загрузочного диска со средством шифрования.

Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения // 2571723

Изобретение относится к области антивирусных систем. Техническим результатом является уменьшение количества требующих анализа событий, связанных с выполнением процесса, при антивирусной проверке.

Система и способ обнаружения мошеннических онлайн-транзакций // 2571721

Изобретение относится к компьютерной безопасности, а более конкретно к системам и способам обеспечения безопасности онлайн-транзакций. Технический результат настоящего изобретения заключается в обеспечении безопасности пользовательских транзакций за счет обнаружения вредоносных программ, используемых для мошеннических транзакций.

Способ сравнительной оценки структур информационно-вычислительной сети // 2573267

Изобретение относится к области информационной безопасности информационно-вычислительных сетей (ИВС) и систем связи и может быть использовано при сравнительной оценке структур ИВС на предмет их устойчивости к отказам, вызванным воздействиями случайных и преднамеренных помех. Техническим результатом от использования изобретения является повышение достоверности результатов сравнительной оценки структур ИВС в условиях воздействия случайных и преднамеренных помех за счет формирования альтернативных маршрутов к включенным в структуру ИВС узлам управления сервисами и определения более безопасного маршрута. Способ заключается в следующем: дополнительно задают совокупность М узлов управления сервисами, после приема ответных сообщений от узлов управления сервисами выделяют и запоминают идентификаторы и адреса узлов управления сервисами, а также множество L маршрутов передачи сообщений, после чего вычисляют критическое соотношение ранее запомненных «опасных» и «безопасных» узлов p к l для каждого l-го маршрута передачи сообщения между абонентом и всеми узлами управления сервисами, при котором невозможен информационный обмен в ИВС, для чего вычисляют первоначальное соотношение «опасных» и «безопасных» узлов pl, и последовательно увеличивают его на величину Δp до выполнения условия, при котором невозможен информационный обмен между абонентом и узлами управления сервисами ИВС, затем выбирают из сформированного множества L маршрутов передачи сообщений маршруты с максимальным значением p к l ко всем имеющимся узлам управления сервисами ИВС от данного абонента, после чего выбирают из них тот маршрут передачи сообщений, у которого значение длины маршрута минимально. 3 ил.

Устройство управления передачей, программа, система управления передачей и способ управления передачей // 2573649

Изобретение относится к системам передачи информации. Техническим результатом является обеспечение высококачественной передачи данных при обеспечении безопасности данных, передаваемых и принимаемых посредством системы передачи данных. Результат достигается тем, что устройство управления передачей включает в себя приемный модуль, который принимает от первого передающего терминала 10 запрос на осуществление связи для связи со вторым передающим терминалом 10; первый модуль хранения, который ассоциированным образом сохраняет идентификационную информацию терминала для идентификации передающих терминалов 10 и идентификационную информацию ретрансляционного устройства для идентификации ретрансляционного устройства 30, которое ретранслирует данные, которые должны быть переданы и приняты посредством первого передающего терминала 10; модуль выбора ретрансляционного устройства, который выбирает ретрансляционное устройство 30, ассоциированное с идентификационной информацией терминала для первого передающего терминала 10 в первом модуле хранения; второй модуль хранения, который ассоциированным образом сохраняет идентификационную информацию ретрансляционного устройства и информацию необходимости шифрования; и модуль определения необходимости шифрования, который определяет, необходимо ли или нет шифрование, на основе информации необходимости шифрования, ассоциированной во втором модуле хранения, с ретрансляционным устройством 30, выбранным посредством модуля выбора ретрансляционного устройства. 4 н. и 4 з.п. ф-лы, 17 ил.

Способ защиты видеоматериалов от несанкционированного воспроизведения и копирования // 2573768

Изобретение относится к области защиты от копирования видеоматериалов. Технический результат - обеспечение повышения степени защиты от несанкционированного воспроизведения и копирования видеоматериалов. В способе защиты видеоматериалов от копирования и несанкционированного воспроизведения предварительно проводят подготовку видеоматериала, для этого кадры, составляющие исходный видеоряд, разбивают на фрагменты, таким образом обрабатывают весь исходный видеоряд, с формированием управляющей информации для воспроизведения видеоматериала; после фрагментирования и обработки фрагментов получают производные видеоряды, составленные из фрагментов кадров, при этом организацию производного видеоряда выполняют статичной или динамической, которая в то же время может быть линейной или дискретной; при воспроизведении с помощью управляющей информации из синхронно воспроизводимых производных видеорядов, сопровождаемых аудиодорожкой, восстанавливают видеоинформацию до идентичной по восприятию с исходной. 14 з.п. ф-лы, 27 ил.

Устройство аутентификации, способ аутентификации и программа // 2573772

Изобретение относится к области аутентификации. Технический результат - эффективная защита цифровой подписи. Устройство аутентификации, включающее в себя модуль хранения ключей для хранения L(L≥2) секретных ключей si(i = от 1 до L) и L открытых ключей yi, удовлетворяющих условию yi=F(si) в отношении набора F многочленов нескольких переменных n-го порядка (n≥2), и модуль выполнения интерактивного протокола, предназначенный для выполнения с помощью проверяющего интерактивного протокола для проверки знания (L-1) секретных ключей si, удовлетворяющих условию yi=F(si). Модуль выполнения интерактивного протокола включает в себя модуль приема вызовов для приема L вызовов Chi от проверяющего, модуль выбора вызовов для произвольного выбора (L-1) вызовов Chi из L вызовов Chi, принимаемых модулем приема вызовов, модуль генерирования ответов для генерирования, с использованием секретных ключей si, (L-1) ответов Rspi, соответственно, для (L-1) вызовов Chi, выбираемых модулем выбора вызовов, и модуль передачи ответов для передачи проверяющему (L-1) ответов Rspi, генерируемых модулем генерирования ответа. 6 н. и 2 з.п. ф-лы, 21 ил.

Устройство управления содержимым // 2573777

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении защищенного временного доступа к элементам содержимого, перечисленным в чарте, исключающий несанкционированный доступ пользователя к элементам содержимого, в том числе во время распределения элементов содержимого. Устройство для предоставления чарта элементов содержимого множеству пользовательских устройств содержит интерфейс пользовательского устройства для связи с приложениями пользовательских устройств; модуль разрешений для определения разрешений пользователям на доступ, включая временные разрешения; распределительный модуль для осуществления разрешений, определенных в модуле разрешений; распределительный модуль дополнительно содержит фрагментирующий модуль, предназначенный для фрагментации каждого элемента из одного или нескольких элементов содержимого на множество фрагментов. 6 н. и 84 з.п. ф-лы, 7 ил.

Система и способ настройки компьютерной системы в соответствии с политикой безопасности // 2573782

Изобретение относится к информационной безопасности. Технический результат заключается в обеспечении безопасности корпоративной сети. Система настройки компьютерной системы в соответствии с политикой безопасности содержит средство применения политик для определения данных о конфигурации компьютерной системы и их последующей передачи средству формирования инструкций, настройки компьютерной системы в соответствии с выбранной политикой безопасности, выполнения проверки корректности работы компьютерной системы после настройки; базу данных политик безопасности; средство формирования инструкций для выбора политики безопасности в соответствии с определенной конфигурацией компьютерной системы и существующими политиками безопасности из базы данных политик безопасности, формирования инструкции по изменению определенной конфигурации компьютерной системы, где создают по крайней мере одну исполняемую инструкцию в виде самозапускающегося файла, в созданную инструкцию добавляют файлы и дистрибутивы для корректного выполнения созданной исполняемой инструкции. 2 н. и 8 з.п. ф-лы, 3 ил.

Система и способ применения правил доступа к файлам при их передаче между компьютерами // 2573785

Изобретение относится к области защиты компьютерных устройств и данных конечных пользователей от несанкционированного доступа. Техническим результатом является повышение уровня защиты информации от неавторизованного доступа путем применения правил доступа к файлам при их передаче между компьютерами. Система применения правил доступа к файлам при их передаче между компьютерами содержит 1) средство определения правил доступа, установленное на локальном компьютере, предназначенное для: перехвата запросов пользователя удаленного компьютера на получение доступа к файлу локального компьютера; определения параметров по крайней мере следующих объектов: пользователя удаленного компьютера, файла, удаленного компьютера; при этом параметры удаленного компьютера включают по крайней мере следующие: показатели, определяющие для каждого из дисков, является ли диск зашифрованным; уровень безопасности, зависящий по крайней мере от одного из следующих параметров: дата последнего обновления антивирусных баз, наличие незакрытых уязвимостей на компьютере, дата последней антивирусной проверки, результаты последней антивирусной проверки, список установленных на компьютере приложений; тип шифрования дисков, который принимает одно из двух значений: шифрование файлов диска, шифрование диска целиком; определения правила доступа с помощью базы данных политик доступа на основе упомянутых определенных параметров, при этом упомянутое правило доступа является одним из следующих: запретить доступ, предоставить прозрачный доступ к зашифрованному файлу, предоставить зашифрованные файлы в виде шифротекста; передачи правила доступа средству применения правил доступа, установленному на удаленном компьютере; 2) упомянутое средство применения правил доступа, связанное со средством определения правил доступа и предназначенное для применения упомянутого определенного правила доступа к файлу локального компьютера в зависимости от установленных параметров объектов; 3) упомянутую базу данных политик доступа, содержащую правила доступа к файлам локального компьютера для удаленного компьютера в зависимости от параметров объектов. 2 н. и 21 з.п. ф-лы, 5 ил., 1 табл.

Система связи, устройство связи, способ связи и компьютерная программа // 2574356

Изобретение относится к области передачи данных. Технический результат - возможность передачи одного и того же контента нескольким устройствам. Устройство использования контента периодически передает обмениваемый ключ и соответствующий идентификатор ключа с использованием команды. Устройство предоставления контента сохраняет обменный ключ только при приеме идентификатора этого ключа с заданным циклом приема. Если такого периодического приема идентификатора ключа не происходит, устройство предоставления контента удаляет соответствующий обмениваемый ключ. После этого при приеме команды, содержащей идентификатор удаленного ключа, устройство предоставления контента возвращает ответ, содержащий информацию, указывающую, что обмениваемый ключ стал недействительным. 5 н. и 5 з.п. ф-лы, 11 ил., 2 табл.

Безопасный способ удаленного предоставления прав на функционирование // 2575689

Изобретение относится к удаленному предоставлению прав на управление исполнительными устройствами. Технический результат - защищенное предоставление прав во время удаленного управления исполнительными устройствами. Способ установления новых доверенных взаимосвязей между ключевыми устройствами и/или блокирующими устройствами, используемыми в виртуальной частной сети в системе дистанционного управления исполнительными устройствами жилища, в котором: доверенное ключевое устройство передает сообщение, зашифрованное секретным ключом шифрования доверенного ключевого устройства, в по меньшей мере одно блокирующее устройство, причем сообщение содержит сертификат доверенного ключевого устройства и сертификат по меньшей мере одного другого устройства, с которым принимающее блокирующее устройство должно установить доверенную взаимосвязь, и определения операций, выполняемых при установлении доверенной взаимосвязи; блокирующее устройство открывает и подтверждает с использованием известного открытого ключа шифрования доверенного ключевого устройства подлинность отправителя сообщения, принятого указанным блокирующим устройством; блокирующее устройство сохраняет сертификаты устройств, относящихся к сообщению, переданному идентифицированным устройством, в своей памяти; блокирующее устройство устанавливает доверенную взаимосвязь с по меньшей мере одним другим устройством, указанным в сообщении. 3 н. и 6 з.п. ф-лы, 4 ил.

Способ аутентификации // 2576586

Изобретение относится к области аутентификации пользователя. Технический результат - эффективная аутентификация пользователя во время транзакций. Способ аутентификации пользователя для транзакции в терминале, в котором идентификатор пользователя передается от терминала партнеру по транзакции через первый канал связи, и используется второй канал связи для проверки функции аутентификации, которая реализована в мобильном устройстве пользователя, функция аутентификации обычно является не активной и активируется пользователем только предварительно по отношению к транзакции, и в качестве критерия для решения, следует ли выдать или отклонить аутентификацию для транзакции, устройство аутентификации проверяет, существует ли заданное временное отношение между передачей идентификатора пользователя и активным состоянием функции аутентификации, причем устройство аутентификации связывается со вторым каналом связи для проверки активного состояния функции аутентификации и принимает ответ от второго канала связи, причем упомянутый ответ включает в себя информацию о том, что функция аутентификации является активной, и функция аутентификации автоматически деактивируется. 2 н. и 24 з.п. ф-лы, 10 ил.